cerber

General

Target

0a4fdcaa0f4966b387fbfb9b8248fd7d.bin
Size

229KB
Sample

240726-bcrg1swejr
MD5

28352a2fa93b3d3c35ef71a4bc16d4b1
SHA1

046e3efb3f91a652863b81bedda5651d7331cc16
SHA256

6597951b7e4e0a1c81c64472810db4fee2bbd80c7f82ede4aa6a2eaae3d6c7e5
SHA512

736bef967867f71a7a18883b0afb0485517bb2df755973a91631e250e78eb1eccd07f0a3381b852c0709f1bb35dd1cedf612cf6c78978bb2da00104a8b96845f
SSDEEP

6144:0hdLmXxq/IY7MqRj3YXGekm6wYocLlwClY5ur45yr7MO402Gpt:0hZqxU7MqRj3YJNdcLlwCl8uk4f9h

Score

10^/10

Malware Config

Extracted

Path

C:\Users\Admin\Desktop\_R_E_A_D___T_H_I_S___MQHL_.txt

Family

cerber

Ransom Note

CERBER RANSOMWARE ----- YOUR DOCUMENTS, PH0TOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! ----- The only way to decrypt y0ur files is to receive the private key and decryption program. To receive the private key and decryption program go to any decrypted folder, inside there is the special file (*_READ_THIS_FILE_*) with complete instructions how to decrypt your files. If you cannot find any (*_READ_THIS_FILE_*) file at your PC, follow the instructions below: ----- 1. Download "Tor Browser" from https://www.torproject.org/ and install it. 2. In the "Tor Browser" open your personal page here: http://p27dokhpz2n7nvgr.onion/C1E3-7D8C-3285-0446-9A94 Note! This page is available via "Tor Browser" only. ----- Also you can use temporary addresses on your personal page without using "Tor Browser". ----- 1. http://p27dokhpz2n7nvgr.12hygy.top/C1E3-7D8C-3285-0446-9A94 2. http://p27dokhpz2n7nvgr.14ewqv.top/C1E3-7D8C-3285-0446-9A94 3. http://p27dokhpz2n7nvgr.14vvrc.top/C1E3-7D8C-3285-0446-9A94 4. http://p27dokhpz2n7nvgr.129p1t.top/C1E3-7D8C-3285-0446-9A94 5. http://p27dokhpz2n7nvgr.1apgrn.top/C1E3-7D8C-3285-0446-9A94 ----- Note! These are temporary addresses! They will be available for a limited amount of time! -----

URLs

http://p27dokhpz2n7nvgr.onion/C1E3-7D8C-3285-0446-9A94

http://p27dokhpz2n7nvgr.12hygy.top/C1E3-7D8C-3285-0446-9A94

http://p27dokhpz2n7nvgr.14ewqv.top/C1E3-7D8C-3285-0446-9A94

http://p27dokhpz2n7nvgr.14vvrc.top/C1E3-7D8C-3285-0446-9A94

http://p27dokhpz2n7nvgr.129p1t.top/C1E3-7D8C-3285-0446-9A94

http://p27dokhpz2n7nvgr.1apgrn.top/C1E3-7D8C-3285-0446-9A94

Extracted

Path

C:\Users\Admin\AppData\Local\Microsoft\OneNote\16.0\cache\_R_E_A_D___T_H_I_S___LXHFWSEM_.txt

Family

cerber

Ransom Note

CERBER RANSOMWARE ----- YOUR DOCUMENTS, PH0TOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! ----- The only way to decrypt y0ur files is to receive the private key and decryption program. To receive the private key and decryption program go to any decrypted folder, inside there is the special file (*_READ_THIS_FILE_*) with complete instructions how to decrypt your files. If you cannot find any (*_READ_THIS_FILE_*) file at your PC, follow the instructions below: ----- 1. Download "Tor Browser" from https://www.torproject.org/ and install it. 2. In the "Tor Browser" open your personal page here: http://p27dokhpz2n7nvgr.onion/6142-1153-72B5-0446-9583 Note! This page is available via "Tor Browser" only. ----- Also you can use temporary addresses on your personal page without using "Tor Browser". ----- 1. http://p27dokhpz2n7nvgr.12hygy.top/6142-1153-72B5-0446-9583 2. http://p27dokhpz2n7nvgr.14ewqv.top/6142-1153-72B5-0446-9583 3. http://p27dokhpz2n7nvgr.14vvrc.top/6142-1153-72B5-0446-9583 4. http://p27dokhpz2n7nvgr.129p1t.top/6142-1153-72B5-0446-9583 5. http://p27dokhpz2n7nvgr.1apgrn.top/6142-1153-72B5-0446-9583 ----- Note! These are temporary addresses! They will be available for a limited amount of time! -----

URLs

http://p27dokhpz2n7nvgr.onion/6142-1153-72B5-0446-9583

http://p27dokhpz2n7nvgr.12hygy.top/6142-1153-72B5-0446-9583

http://p27dokhpz2n7nvgr.14ewqv.top/6142-1153-72B5-0446-9583

http://p27dokhpz2n7nvgr.14vvrc.top/6142-1153-72B5-0446-9583

http://p27dokhpz2n7nvgr.129p1t.top/6142-1153-72B5-0446-9583

http://p27dokhpz2n7nvgr.1apgrn.top/6142-1153-72B5-0446-9583

Extracted

Path

C:\Users\Admin\AppData\Roaming\Microsoft\OneNote\16.0\_R_E_A_D___T_H_I_S___RZGJL36_.hta

Family

cerber

Ransom Note

<!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8"> <title>CERBER RANSOMWARE: Instructions</title> <HTA:APPLICATION APPLICATIONNAME="9N6pAidUr3" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize"> <style type="text/css"> a { color: #04a; text-decoration: none; } a:hover { text-decoration: underline; } body { background-color: #e7e7e7; color: #222; font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif; font-size: 13pt; line-height: 19pt; } body, h1 { margin: 0; padding: 0; } hr { color: #bda; height: 2pt; margin: 1.5%; } h1 { color: #555; font-size: 14pt; } ol { padding-left: 2.5%; } ol li { padding-bottom: 13pt; } small { color: #555; font-size: 11pt; } ul { list-style-type: none; margin: 0; padding: 0; } .button { color: #04a; cursor: pointer; } .button:hover { text-decoration: underline; } .container { background-color: #fff; border: 2pt solid #c7c7c7; margin: 5%; min-width: 850px; padding: 2.5%; } .header { border-bottom: 2pt solid #c7c7c7; margin-bottom: 2.5%; padding-bottom: 2.5%; } .h { display: none; } .hr { background: #bda; display: block; height: 2pt; margin-top: 1.5%; margin-bottom: 1.5%; overflow: hidden; width: 100%; } .info { background-color: #efe; border: 2pt solid #bda; display: inline-block; padding: 1.5%; text-align: center; } .updating { color: red; display: none; padding-left: 35px; background: url("data:image/gif;base64,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") left no-repeat; } #change_language { float: right; } #change_language, #texts div { display: none; } </style> </head> <body> <div class="container"> <div class="header"> <a id="change_language" href="#" onclick="return changeLanguage1();" title="English">☑ English</a> <h1>CERBER RANSOMWARE</h1> Instructions </div> <div id="languages"> ☑ Select your language <ul> <li><a href="#" title="English" onclick="return sh_bl('en');">English</a></li> <li><a href="#" title="Arabic" onclick="return sh_bl('ar');">العربية</a></li> <li><a href="#" title="Chinese" onclick="return sh_bl('zh');">中文</a></li> <li><a href="#" title="Dutch" onclick="return sh_bl('nl');">Nederlands</a></li> <li><a href="#" title="French" onclick="return sh_bl('fr');">Français</a></li> <li><a href="#" title="German" onclick="return sh_bl('de');">Deutsch</a></li> <li><a href="#" title="Italian" onclick="return sh_bl('it');">Italiano</a></li> <li><a href="#" title="Japanese" onclick="return sh_bl('ja');">日本語</a></li> <li><a href="#" title="Korean" onclick="return sh_bl('ko');">한국어</a></li> <li><a href="#" title="Polish" onclick="return sh_bl('pl');">Polski</a></li> <li><a href="#" title="Portuguese" onclick="return sh_bl('pt');">Português</a></li> <li><a href="#" title="Spanish" onclick="return sh_bl('es');">Español</a></li> <li><a href="#" title="Turkish" onclick="return sh_bl('tr');">Türkçe</a></li> </ul> </div> <div id="texts"> <div id="en"> Can't yoWu20gsQ1Otu find the necessary files? Is the cfVOjDjz6mSontent of your files not readable? It is normal begKU9rPcause the files' names and the data in your files have been encrypx7uKted by "Ce3vb4nrber Ransomware". It mejuRppjkans your files are NOT damage7HeZ8MZ1xd! Your files are modified only. This modification is reversible. Fgknorom now it is not possPcazmnE9ible to use your files until they will be decrypted. The only way to decxrypt your files safely is to buy the special decryption software "CmtTakerber Decryptor". Any attempts to restluLFh0jyore your files with the thirs82dd-party software will be fatal for your files! <hr> You can procMeAuFqpweed with purchasing of the decryption softw1BkInRr80zare at your personal page: PleJQaXQQgase wait...<a class="url" href="http://p27dokhpz2n7nvgr.12hygy.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.12hygy.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.14ewqv.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.14ewqv.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.14vvrc.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.14vvrc.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.129p1t.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.129p1t.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.1apgrn.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.1apgrn.top/6142-1153-72B5-0446-9583</a> If tt65Dthis page cannot be opened  clieck here  to get a new addrS5RBsness of your personal page. If the addreX9ss of your personal page is the same as befoPTxrXgFare after you tried to get a new one, you cgtan try to get a new address in one hour. At thhIois page you will receive the complete instrA6suctions how to buy the decryptiQ0NpDon software for restoring all your files. Also at this page you will be able to resBgmtore any one file for free to be sure "CerbepkAefjOzr Decryptor" will help you. <hr> If your perso56ohHiKasonal page is not availaJeb1tble for a long period there is another way to open your personal page - instaAB2Svllation and use of Tor Browser: <ol> <li>run your Intex73rnet browser (if you do not know what it is run the Internet Explorer);</li> <li>entuXUNWSer or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li> <li>wait for the site load4tQyYing;</li> <li>on the site you will be offered to dorN49aTwvwnload Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li> <li>ru4teyV8dn Tor Browser;</li> <li>connect with the buttga1on "Connect" (if you use the English version);</li> <li>a normal Internet brovX59bthLYEwser window will be opened after the initialization;</li> <li>type or copy the addmYipncress http://p27dokhpz2n7nvgr.onion/6142-1153-72B5-0446-9583 in this browser address bar;</li> <li>prepVRZyp6Hss ENTER;</li> <li>the site shoh0ttn6uld be loaded; if for some reason the site is not loofQading wait for a moment and try again.</li> </ol> If you have any prHoblems during installation or use of Tor Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the searcfvHbXdWszbh bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use. <hr> AdditXBq0iHtional information: You will filPp5gdnd the instruehSyActions ("*_READ_THIS_FILE_*.hta") for rewg8fstoring your files in any fsFolder with your encPMhd7rypted files. The instrG9Muctions "*_READ_THIS_FILE_*.hta" in the fF4uL5older8oO3ZDZnas with your encryE5X5epted files are not virpNZQfbguses! The instruco0kaNfptions "*_READ_THIS_FILE_*.hta" will heRjlKHnKAglp you to decXrSjbKHXOJrypt your files. RemembemSi23Or! The worst sizTjPihPJtuation already happmened and now the future of your files defQEOqEA3jpends on your determrHkcsSHsoQination and speed of your actions. </div> <div id="ar" style="direction: rtl;"> لا يمكنك العثور على الملفات الضرورية؟ هل محتوى الملفات غير قابل للقراءة؟ هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware". وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا. ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها. الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor". إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك! <hr> يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية: أرجو الإنتظار...<a class="url" href="http://p27dokhpz2n7nvgr.12hygy.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.12hygy.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.14ewqv.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.14ewqv.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.14vvrc.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.14vvrc.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.129p1t.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.129p1t.top/6142-1153-72B5-0446-9583</a><hr><a href="http://p27dokhpz2n7nvgr.1apgrn.top/6142-1153-72B5-0446-9583" target="_blank">http://p27dokhpz2n7nvgr.1apgrn.top/6142-1153-72B5-0446-9583</a> في حالة تعذر فتح هذه الصفحة  انقر هنا  لإنشاء عنوان جديد لصفحتك الشخصية. في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك. في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك. <hr> إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor: <ol> <li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li> <li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li> <li>انتظر لتحميل الموقع;</li> <li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li> <li>قم بتشغيل متصفح Tor;</li> <li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li> <li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li> <li>قم بكتابة أو نسخ العنوان http://p27dokhpz2n7nvgr.onion/6142-1153-72B5-0446-9583 في شريط العنوان في المتصفح;</li> <li>اضغط ENTER;</li> <li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li> </ol> إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه. <hr> معلومات إضRNIHpافية: سu8fUوف تجد إرشادات استعادة الملفات الخاصة بك ("*_READ_THIS_FILE_*") في أي مجلد مع ملفاتك المشفرة. الإرشue9jiLZkwNادات ("*_READ_THIS_FILE_*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*_READ_THIS_FILE_*") سوف تساعدك على فك تشفير الملفات الخاصة بك. تذكر أن أسوأ مو91eFUقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك. </div> <div id="zh"> 您找不到所需的文件？ 您文件的内容无法阅读？ 这是正常的，因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。 这意味着您的文件并没有损坏！��

Targets

- Target
  
  8139a1abf1b69e34499158be4dd7e73335c67b275b531061d8f3ce1acb8b13ea.exe
- Size
  
  621KB
- MD5
  
  0a4fdcaa0f4966b387fbfb9b8248fd7d
- SHA1
  
  56239da8077f97b837222d855273095779b638cd
- SHA256
  
  8139a1abf1b69e34499158be4dd7e73335c67b275b531061d8f3ce1acb8b13ea
- SHA512
  
  aa57096f7b060ff3afdc9347e8a4242e4daa837f96ac18788c8cc0751f7582fb2815b3a3b40af3ee0a8904a300148e848e531e069d367544ddba19ef40173941
- SSDEEP
  
  6144:HYghlI5/u8f1mr+4RJ99MpDa52RX5wRDhOOU0qsRZ:HYKlYmDXEpDHRXP01
Score

10^/10

cerber aspackv2 discovery evasion persistence privilege_escalation ransomware
- Cerber
  Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.
  ransomware cerber
- Blocklisted process makes network request
- Contacts a large (1097) amount of remote hosts
  This may indicate a network scan to discover remotely running services.
  discovery
- Modifies Windows Firewall
  evasion
- ASPack v2.12-2.42
  Detects executables packed with ASPack v2.12-2.42
  aspackv2
- Checks computer location settings
  Looks up country code configured in the registry, likely geofence.
- Deletes itself
- Drops startup file
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Sets desktop wallpaper using registry
  ransomware
behavioral1 behavioral2